0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p>Исследователи<a>обнаружили</a>новую уязвимость нулевого дня в компоненте "Поиск Windows" (Windows Search) -<a>CVE-2022-30190</a>. Она позволяет злоумышленникам открывать окна, содержащие хранящиеся удалённо исполняемые файлы вредоносных программ. А чтобы открыть такое окно, жертве достаточно запустить документ Word. Специалисты из Microsoft<a>выпустили</a>инструкцию на тему того, как обезопасить себя от этой уязвимости.</p>
1
<p>Исследователи<a>обнаружили</a>новую уязвимость нулевого дня в компоненте "Поиск Windows" (Windows Search) -<a>CVE-2022-30190</a>. Она позволяет злоумышленникам открывать окна, содержащие хранящиеся удалённо исполняемые файлы вредоносных программ. А чтобы открыть такое окно, жертве достаточно запустить документ Word. Специалисты из Microsoft<a>выпустили</a>инструкцию на тему того, как обезопасить себя от этой уязвимости.</p>
2
<p>Уязвимость находится в диагностическом инструменте Microsoft - MSDT, который сам по себе не представляет серьёзной угрозы. Но если подсунуть ему документ MS Office, то хакеры смогут получить доступ к системе.</p>
2
<p>Уязвимость находится в диагностическом инструменте Microsoft - MSDT, который сам по себе не представляет серьёзной угрозы. Но если подсунуть ему документ MS Office, то хакеры смогут получить доступ к системе.</p>
3
<p>Проблема возникает при обработке URI-протокола "search-ms", который позволяет приложениям и HTML-ссылкам запускать настраиваемый поиск на устройстве. Такие поисковые запросы могут обращаться внутрь устройства, но "Поиск Windows" расширяет их возможности. Он может запрашивать общие файловые ресурсы, расположенные на удалённых хостах.</p>
3
<p>Проблема возникает при обработке URI-протокола "search-ms", который позволяет приложениям и HTML-ссылкам запускать настраиваемый поиск на устройстве. Такие поисковые запросы могут обращаться внутрь устройства, но "Поиск Windows" расширяет их возможности. Он может запрашивать общие файловые ресурсы, расположенные на удалённых хостах.</p>
4
<p>Например, существует набор утилит Sysinternals, который позволяет пользователю удалённо подключить live.sysinternals.com как сетевую папку и запускать оттуда инструменты. И для таких действий может использоваться следующий URI из категории "search-ms":</p>
4
<p>Например, существует набор утилит Sysinternals, который позволяет пользователю удалённо подключить live.sysinternals.com как сетевую папку и запускать оттуда инструменты. И для таких действий может использоваться следующий URI из категории "search-ms":</p>
5
search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals<p>В этом запросе переменная "crumb" определяет местоположение, а "displayname" - устанавливает поисковый заголовок. При этом уязвимость можно эксплуатировать на всех операционных системах Windows - десктопных и серверных.</p>
5
search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals<p>В этом запросе переменная "crumb" определяет местоположение, а "displayname" - устанавливает поисковый заголовок. При этом уязвимость можно эксплуатировать на всех операционных системах Windows - десктопных и серверных.</p>
6
<p>Представим сценарий атаки, который придумали исследователи, занимающиеся поиском уязвимостей.</p>
6
<p>Представим сценарий атаки, который придумали исследователи, занимающиеся поиском уязвимостей.</p>
7
<p>Хакер создаёт вредоносный документ MS Office и как-то его распространяет - через сайты, соцсети, торрент-раздачи. Хотя самым популярным способом всё ещё остаётся e-mail-рассылка с вложенными файлами, которые сопровождаются классической социальной подводкой, чтобы привлечь внимание. Например: "Срочно прочитай контракт. Завтра его нужно будет подписать".</p>
7
<p>Хакер создаёт вредоносный документ MS Office и как-то его распространяет - через сайты, соцсети, торрент-раздачи. Хотя самым популярным способом всё ещё остаётся e-mail-рассылка с вложенными файлами, которые сопровождаются классической социальной подводкой, чтобы привлечь внимание. Например: "Срочно прочитай контракт. Завтра его нужно будет подписать".</p>
8
<p>Заражённый файл содержит ссылку на HTML-файл, внутри которого находится JavaScript-код. Этот код как раз и является вредоносным - он запускает команду через MSDT и получает доступ к данным. Если атака прошла успешно, хакер сможет устанавливать программы, просматривать, менять или удалять файлы, а также создавать новые аккаунты в системе.</p>
8
<p>Заражённый файл содержит ссылку на HTML-файл, внутри которого находится JavaScript-код. Этот код как раз и является вредоносным - он запускает команду через MSDT и получает доступ к данным. Если атака прошла успешно, хакер сможет устанавливать программы, просматривать, менять или удалять файлы, а также создавать новые аккаунты в системе.</p>
9
<p>Пока не вышел патч, специалисты из Microsoft рекомендуют выключить -протоколы формата MSDT URL. Чтобы сделать это, нужно запустить команду ниже в командной строке с правами администратора:</p>
9
<p>Пока не вышел патч, специалисты из Microsoft рекомендуют выключить -протоколы формата MSDT URL. Чтобы сделать это, нужно запустить команду ниже в командной строке с правами администратора:</p>
10
reg delete HKEY_CLASSES_ROOT\ms-msdt /f<p>Но перед этим желательно бэкапнуть регистры с помощью команды:</p>
10
reg delete HKEY_CLASSES_ROOT\ms-msdt /f<p>Но перед этим желательно бэкапнуть регистры с помощью команды:</p>
11
reg export HKEY_CLASSES_ROOT\ms-msdt filename<p>Кроме этого, стоит внимательнее читать email-сообщения от незнакомых пользователей - особенно те, в которые вложены документы формата MS Office.</p>
11
reg export HKEY_CLASSES_ROOT\ms-msdt filename<p>Кроме этого, стоит внимательнее читать email-сообщения от незнакомых пользователей - особенно те, в которые вложены документы формата MS Office.</p>
12
12